Black Lotus Labs’ın araştırmasına göre, Volt Typhoon olarak bilinen bu grup, internet sağlayıcıları ve yönetilen hizmet sağlayıcıları tarafından kullanılan Versa Networks’ün Versa Director yazılımındaki bir zero-day (sıfırıncı gün) açığını istismar etti.
Zero-day açığı, yazılım üreticisinin bu güvenlik açığından haberdar olmadan önce saldırıya uğradığı anlamına gelir ve bu da hackerlar için önemli bir avantaj sağlar. Versa Director, ağ yapılandırmalarını yönetmek için kullanılan bir yazılımdır ve bu da onu hackerlar için kritik ve cazip bir hedef haline getirir.
Volt Typhoon grubu, özellikle iletişim ve telekom ağları gibi kritik altyapıları hedef alıyor. Uzmanlara göre, bu grup, ABD’nin Tayvan’a yönelik olası bir askeri müdahalesini engellemeyi amaçlıyor.
Hedef, başka ağlara geçiş için bir anahtar sağlamaktı
Black Lotus Labs’ın araştırmacıları, hackerların hedefinin, kurbanların kimlik bilgilerini çalarak bu bilgileri başka ağlara sızmak için kullanmak olduğunu belirtti. Hackerlar, Versa sunucularını, diğer ağlara geçiş noktası olarak kullanmak amacıyla hedef aldı.
Araştırmayı yürüten güvenlik uzmanı Mike Horka’ya göre, bu saldırılar sadece telekom sektörünü değil, aynı zamanda yönetilen hizmet sağlayıcıları ve internet servis sağlayıcılarını da etkiledi. Horka, ABD’de iki internet sağlayıcısı, bir yönetilen hizmet sağlayıcısı ve bir BT sağlayıcısı olmak üzere dört kurbanın ve Hindistan’da bir internet sağlayıcısının bu saldırıdan etkilendiğini tespit etti.
Versa Networks, açığın tespit edilmesinin ardından acil bir yama yayınladığını ve sorunun giderildiğini açıkladı. Versa’nın Pazarlama Müdürü Dan Maier, Haziran ayı sonunda kendilerine bildirilen bu açığın ardından hızlıca bir yama geliştirildiğini belirtti.
Ayrıca, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu zero-day açığını bilinen güvenlik açıkları listesine ekledi ve federal kuruluşlar için önemli bir tehdit oluşturduğunu vurguladı.